Il y a un problème grave qui affecte des centaines de millions d’utilisateurs d’Android Messages dans le monde – un problème qui aurait dû être signalé par l’énorme contrecoup qui a soudainement frappé WhatsApp en janvier. Mais ce n’était pas le cas, cela attire étonnamment peu d’attention, même si cela vous met en danger, vous et vos informations privées. Voici ce que vous devez savoir.

Excellente nouvelle pour les utilisateurs d’Android Messages cette semaine: vous pouvez désormais programmer l’envoi automatique de SMS plus tard Google dit, « Continuera à améliorer votre façon de communiquer et vous aidera à rester en contact. » Selon Google, «un demi-milliard de personnes dans le monde utilisent Messages pour se connecter de manière transparente et en toute sécurité avec leur famille, leurs amis et d’autres personnes chaque mois.» Parfaitement oui. Mais en toute sécurité? Peut être pas.

De presque nulle part, 2021 a vu un accent tardif et bienvenu sur la sécurité et la confidentialité – ou son absence – avec les applications de messagerie que nous utilisons tous quotidiennement. WhatsApp a été claqué pour l’étendue de sa collecte de données et pour ses liens back-end vers le propriétaire Facebook. Messenger a été dénoncé pour diverses atteintes à la sécurité et à la confidentialité. Et iMessage a été loué pour d’autres avancées pour protéger la base d’utilisateurs d’Apple.

Une plate-forme qui a apparemment échappé à une telle attention est les messages Android de Google, ce qui est surprenant compte tenu de ces centaines de millions d’utilisateurs. Si vous êtes un utilisateur Android, il s’agit probablement de votre valeur par défaut. Si ce n’est pas le cas, si vous êtes un utilisateur de Samsung Messages, par exemple, poursuivez votre lecture, car ces graves problèmes vous affectent exactement de la même manière.

Android Messages, Samsung Messages et leurs équivalents ne sont que des clients SMS, en cours de mise à niveau vers Rich Communication Services ou RCS – essentiellement des SMS pour le 21^st siècle. Si vous êtes un lecteur régulier de cette rubrique, vous saurez que les SMS échouent lamentablement lorsqu’il s’agit de sécuriser vos données. Si vous supposez naturellement que RCS résoudra ce problème, détrompez-vous. RCS prêt à l’emploi n’est pas beaucoup plus sécurisé que les SMS.

Alors que Google accélérait son déploiement RCS en 2019, les SRLabs allemands averti que la mise à niveau des SMS vers RCS sans repenser la sécurité «expose la plupart des utilisateurs mobiles au piratage», que le provisionnement RCS «est mal protégé dans de nombreux réseaux… permettant aux pirates de prendre entièrement en charge les comptes utilisateurs.» Et Google Messages « n’implémente pas une validation de domaine et de certificat suffisante, permettant aux pirates d’intercepter et de manipuler la communication via une attaque d’usurpation DNS. »

Vous avez probablement déjà la mise à jour RCS «chat» de votre application Android Messages, ou vous pouvez avoir la fonctionnalité sur la propre plate-forme de Samsung. Toute utilisation de l’application de messagerie de Google peut passer à RCS, étant donné qu’elle repose sur une plate-forme Google distincte de votre opérateur. Le déploiement de Samsung est plus irrégulier, mais si vous ne l’avez pas encore, il est en route. Il est facile de savoir si RCS est installé sur votre téléphone – il déverrouille des fonctionnalités plus riches que les SMS. Mais bien que RCS puisse ressembler à un équivalent iMessage ou WhatsApp, il n’en est rien.

Le problème est la sécurité de vos messages. Vous ne pouvez pas avoir échappé au débat qui fait rage autour du cryptage de bout en bout – il a été la défense de WhatsApp contre la récente réaction, après tout. WhatsApp est allé plus loin cette semaine, Attention les dizaines de millions d’utilisateurs abandonnent maintenant pour des alternatives que «nous avons vu certains de nos concurrents essayer de s’en tirer en prétendant qu’ils ne peuvent pas voir les messages des gens – si une application n’offre pas par défaut un chiffrement de bout en bout qui signifie qu’ils peuvent lire vos messages. »

En apparence, il s’agit d’une attaque contre Telegram, qui n’a pas réussi à crypter ses messages de bout en bout par défaut, malgré (ironiquement) prétendre que la sécurité est l’un de ses principaux avantages. Mais cette même critique de cryptage peut également s’appliquer à Facebook Messenger et, bien sûr, à Android Messages (et Samsung Messages), que les applications soient ou non mises à jour vers RCS. J’ai vu certains sites technologiques suggérer Android Messages comme alternative à WhatsApp, compte tenu du contrecoup. C’est un très mauvais conseil.

Les fans d’Android Messages soulignent l’ajout tant attendu par Google d’un chiffrement de bout en bout à sa plate-forme de messagerie RCS, maintenant en version bêta. Mais cela comporte trop de mises en garde pour préconiser son utilisation. Tout d’abord, il est uniquement disponible en version bêta, ce qui signifie que vous et vos interlocuteurs devez être inscrits au programme bêta pour l’utiliser. Plus sérieusement, le cryptage de bout en bout dans Android Messages est de la même variété limitée que celui de Telegram.

Tout comme Telegram, le cryptage de bout en bout RCS de Google ne fonctionne qu’entre deux personnes, aucun groupe et un seul appareil par personne. C’est aussi basique que possible, et cela ne se rapproche pas du niveau de sécurité offert par iMessage ou Signal ou WhatsApp d’Apple. Les deux derniers sont bien sûr, tous deux disponibles sur Android, et sont bien meilleurs que RCS. Vous pouvez même faire de Signal votre application de messagerie par défaut.

Avant le lancement par Google de sa version bêta de chiffrement de bout en bout, je lui ai demandé si l’un des problèmes de sécurité RCS signalés avait été résolu. Ils n’ont pas répondu. Leur version bêta de chiffrement ultérieure est trop limitée pour résoudre le problème. Et là où le RCS de Google déplace le trafic des systèmes réseau, sa sécurité n’est pas meilleure que Facebook Messenger, où vos données sont ouvertes sur la plate-forme.

Comme Google dit, «Les fonctionnalités de chat de Google utilisent le cryptage TLS (Transport Layer Security) pour protéger vos messages. Cela signifie que toute personne essayant d’intercepter des messages entre vous et Google ne pourra voir que du texte chiffré et illisible.  » Google, cependant, peut tout voir. C’est la principale critique adressée à Facebook Messenger. Ce n’est pas différent ici.

PLUS DE FORBESNe perdez pas votre WhatsApp pendant 7 jours – Modifiez ce paramètre critique maintenantPar Zak Doffman

Il est important que les utilisateurs d’Android Messages comprennent ces différences – le débat qui fait rage sur la confidentialité de WhatsApp (ou son absence) a souligné à quel point il est difficile pour de nombreux utilisateurs de comprendre les différences de sécurité entre les différentes applications proposées. Et l’idée que les utilisateurs peuvent quitter WhatsApp pour Android ou Samsung Messages est un important pas en arrière. Cela dit, des dizaines de millions de personnes afflueraient vers Telegram, ce qui, du point de vue de la sécurité, n’est guère meilleur. J’ai déjà averti à ce sujet.

Au-delà du cryptage, il y a une autre raison pour laquelle il est temps de quitter l’application Messages de Google. Le contrecoup de WhatsApp a été initialement déclenché par les étiquettes de confidentialité d’Apple, qui ont obligé les développeurs d’applications à divulguer les données collectées auprès des utilisateurs. Il est vite devenu clair que WhatsApp était en décalage avec ses pairs – Signal, iMessage et Telegram.

Google est souvent regroupé avec Facebook lorsqu’il s’agit des principaux collecteurs de données au monde. Et bien que nous ne puissions pas vérifier une étiquette de confidentialité Android Messages – il n’y a évidemment pas d’application iOS, nous pouvons regarder Gmail pour avoir une idée des politiques de collecte de données de Google et comparer cela à l’équivalent d’Apple. Sans surprise, c’est assez horrible.

Alors, revenons à l’avertissement de WhatsApp. Si vos messages ne sont pas chiffrés de bout en bout, cela signifie que la plate-forme «peut lire vos messages». Nous savons, par exemple, que Facebook lit le contenu de Messenger pour surveiller les violations de politique. Google peut faire de même, lorsque les messages transitent sur sa plate-forme RCS, ils sont cryptés entre votre téléphone et Google, mais pas de bout en bout. Et Google a la clé de ce cryptage.

Jusqu’à ce que le RCS de Google propose un cryptage de bout en bout par défaut et puisse fournir ce niveau de sécurité pour les groupes ainsi que la messagerie 1: 1, alors c’est autant un non-non que Facebook Messenger. Et l’alternative de Samsung est exactement la même.

Alors, que devrais-tu faire? Vous devriez cesser d’utiliser ces applications et opter pour le cryptage de bout en bout à la place. WhatsApp est (ironiquement) une bien meilleure option, malgré la présence imminente de Facebook en arrière-plan. Sinon, étant donné qu’iMessage (qui a la meilleure architecture de sécurité de tous) n’est pas disponible pour les utilisateurs d’Android, vous devriez opter pour Signal, qui a la meilleure option sécurisée avec une base d’utilisateurs en croissance rapide.